CISO Advisor: 257.104 page views/mês - 97.376 usuários/mês - 5.277 assinantes

docker

Worm contamina 2 mil Dockers para mineração

Paulo Brito
18/10/2019

Pesquisadores da unidade de inteligência em ameaças da Palo Alto Networks identificaram um novo worm de criptojacking, o Graboid, que se espalhou usando contêineres de software Docker. O worm se espalhou para mais de 2.000 hosts Docker desprotegidos para utilizar o poder de processamento desses ambientes na mineração da criptomoeda Monero. Docker é uma plataforma que facilita a criação e administração de ambientes isolados. Ele permite o empacotamento de uma aplicação ou ambiente inteiro dentro de um ‘container’. Esse ambiente é portável para qualquer outro Host que contenha o Docker. Já o Monero é uma criptomoeda de código aberto que permite aos usuários ocultar quase todos os detalhes das transações – ao contrário das transações de Bitcoin, que são públicas, rastreáveis ​​e permanentemente armazenadas na rede.

Embora tenha havido incidentes de malware de cryptojacking se espalhando por meio de worms, esta é a primeira vez que um de cryptojacking se espalha utilizando os contêineres do Docker (edição da comunidade). Tudo começou com alguém mal-intencionado invadinto e tomando posição por meio de daemons Docker não seguros. Depois o malware foi baixado dos servidores de comando e controle (C2). Ele foi implantado para minerar Monero, procurar novos hosts vulneráveis​ e escolher o próximo alvo aleatório dos worms.

Segundo os pesquisadores da Palo Alto, cada minerador estava ativo, em média, 63% do tempo, e cada período de mineração durava 250 segundos. A empresa explicou que esse é um tipo de atividade maliciosa de difícil detecção, pois a maioria dos softwares tradicionais de proteção de terminais não inspeciona dados e atividades dentro de contêineres. A empresa Docker trabalhou em conjunto com a Palo Alto para remover as imagens de contêineres maliciosos.

Embora o worm não envolva táticas, técnicas ou procedimentos sofisticados, pode extrair periodicamente novos scripts dos centros de comando e controle (C2). Isso significa que ele pode ser facilmente transformado em ransomware ou outro malware para comprometer o servidor.

Compartilhar: